`
yaozhan189
  • 浏览: 49659 次
  • 性别: Icon_minigender_1
  • 来自: 宁波
社区版块
存档分类
最新评论

转 (一次服务器被入侵的经历)

阅读更多


原文地址:http://skymax.blog.51cto.com/365901/272912
 



入侵发生在 2009 11 月的某一天,当时我正在机房忙碌着为新机器上架做准备,接到同事的电话,说某某服务不能用了,也不能启动了,说什么文件未找到。当时觉得很疑惑,以前没有遇到过类似的问题。
赶紧登录服务器看个究竟,提示 root 用户密码不对,难道谁把用户密码改了?换一般用户登录,进去了,发现服务进程( java 进程)不存在了, home 目录的下文件都被删除了,我意识到事情有些不妙了,一定是有人动过这台服务器。
last 查看一下历史登录记录,发现有两个外网地址以 root 登录过,顺手把这两个外网 IP Google 了一下,都被列入的黑名单。这台服务器是被人攻击了,是怎么进来的呢?这台机器可是在 F5 (负责均衡交换机)下面的,对外也只开了 80 端口,疑惑!
先把 root 密码找回来吧,机器是 Linux RedHat 环境,重启主机,进入 GRUB 时,按 “e” 进行编辑,在该行末尾添加空格 1 。退出编辑,按 “b” 启动进入单用户模式下,此时登录系统不需要密码, passwd 修改 root 用户密码。然后正常重启,用新设置的 root 用户密码登录。
查看有没有其他东西被动过,还好 weblogic web 应用都在,先将服务起来,正常启动。打电话给同事告知服务现可使用。
思索,对方是如何进来的呢?从 last 记录中可以看到对方的 IP 地址,并且是通过 ssh 方式登录的,那就不应该是从 F5 进来的,因为 F5 只开了 80 端口,并且没有做 IP 透射(如果从 F5 进来,就不会看到对方的公网 IP )。对方可通过外网直接访问该主机,意识问网络的同事该主机是不是直接 NAT 到外网上了,很快得到了答复,果然被 NAT 到外网了,而且全部端口都打开了,天啊!原来之前这台机器为了从外部做测试省事把所以的端口都打开了,之后又没有及时关闭,这才被人扫描到了。

教训, 1 、不要把主机轻易 NAT 外网,映射时应具体到端口。有些端口是一定不要开的如 ssh telnet 端口; 2 root 用户的密码要复杂,不要让对方轻易穷举到; 3 、做相应的安全设置,如禁止外网 IP 登录等。

 

 

 

 

修改root密码

CentOS

GRUB:在引导装载程序菜单上,键入 [e] 来进入编辑模式。你会面对一个引导项目列表。查找其中类似以下输出 的句行:

kernel /vmlinuz-2.4.18-0.4 ro root =/dev/hda2

按箭头键直到这一行被突出显示,然后按 [e]。你现在可在文本结尾处空一格再添加 1 来告诉 GRUB 引导单用户 Linux 模式。按 [Enter] 键来使编辑结果生效。

你会被带会编辑模式屏幕,从这里,按[b] , GRUB 就会引导单用户 Linux 模式。 结束载入后,你会面对一个与以下相似的 shell 提示:

sh-2.05#

现在,你便可以改变根命令,键入:

bash# passwd

Ubuntu则是
kernel   /boot/vmlinuz- 2.6 . 17 - 11 -generic root=/dev/hda3 ro quiet single

分享到:
评论

相关推荐

    记一次入侵Linux服务器和删除木马程序的经历

    本文档描述了一次针对Linux服务器的入侵事件及其后续的处理过程。该事件始于一次流量异常的发现,进而揭示了服务器遭受木马攻击的事实。 #### 入侵检测 - **流量监控**:通过持续监测网络流量,可以及时发现异常...

    记一次Ubuntu服务器被黑经历

    起因 最近我们的一台Ubuntu阿里云服务器一直提示有肉鸡行为,提示了...Linux里有非常的多的日志文件,统一都存放在/var/log底下,这里我想先看看是不是有人破解了账号入侵了服务器 cat /var/log/faillog –登陆失败日

    华为服务器存储试题库.docx

    LUN可以被视为服务器眼中的一块虚拟硬盘,使得服务器能够像操作本地硬盘一样对其进行读写操作。 #### 十三、SAN阵列存储特点 - **知识点概述**: - 相较于本地存储和DAS存储,现代SAN阵列存储的主要特点或优势。 -...

    ipmi方案手册

    IPMI的标准经历了几次主要的更新,包括v1.0、v1.5和v2.0三个主要版本。IPMI 2.0是最新的版本,它提供更为丰富的功能,例如监视服务器的物理特征,如温度、电压、风扇状态、电源供应和机箱入侵等。IPMI的工作原理是...

    这是一个端口侦听工具软件代码,功能很强,请谨慎使用(11kb)

    端口侦听工具是一种用于监控网络通信的软件,它能够帮助用户查看哪些程序正在通过特定端口进行数据...对于IT专业人士而言,无论是为了工作需求还是个人技能提升,深入研究这个端口侦听工具都将是一次宝贵的学习经历。

    IMPI规范2.0破解版

    - **后续修订**:1999年8月26日,v1.0版本进行了第一次修订,主要针对已知错误进行了修正。 - **重大升级**:2001年2月21日,发布了v1.5版本,这是IMPI发展的一个重要里程碑。 - **持续优化**:自2002年至2004年间,...

    系统时间校对 版本4.7

    "版本4.7"可能代表了这个软件已经历过多次迭代和优化,提供了更稳定、更高效的时间同步服务。通常,软件的新版本会修复旧版本的bug,提升性能,增加新功能,或者改进用户界面,以提高用户体验。 从压缩包中的文件...

    湖南中信网络有限公司主机程序

    这表明该主机程序至少在2003年就已经存在,并且可能经历了多次更新和维护,以适应不断变化的网络环境和技术需求。 在实际操作中,湖南中信网络有限公司的主机程序可能涉及以下关键知识点: 1. **服务器管理**:...

    基于Java即时聊天系统的设计与实现doc

    Java以其“一次编写,到处运行”的特性,成为构建跨平台应用的理想选择。在即时聊天系统中,Java的Socket编程用于实现客户端与服务器之间的数据传输,而多线程技术则保证了多个并发连接的处理。 2.2 C/S模式介绍 C...

    java课后题答案(第一章)

    3. **跨平台性**:正如前面所述,Java的字节码机制确保了其程序可以在任何支持JVM的平台上运行,实现了“一次编写,到处运行”的承诺。 4. **健壮性**:Java具有强大的异常处理机制和垃圾回收机制,能够自动检测并...

    智慧住宅综合安防行业解决方案.pptx

    - 统一的数据平台:所有系统共享用户数据,一次录入,同步更新,减少冗余。 - 整合各系统数据:通过服务器集群实现各系统的无缝对接和数据整合。 综上所述,智慧住宅综合安防行业解决方案致力于通过集成化的平台...

    Opportunistic Key Caching

    使用OKC的网络环境通常包含一个中央控制器,该控制器可能负责执行诸如动态射频管理、无线入侵检测系统(WIDS)和无线入侵防御系统(WIPS)等其他功能。因此,OKC往往被集成到更广泛的无线网络管理和安全策略中,提高...

    小黑屋页游完整版v1.4.zip

    这样的设计是为了方便用户一次性下载并解压后直接运行游戏。可能的文件结构可能包括HTML文件(游戏界面)、CSS文件(样式表)、JavaScript文件(游戏逻辑)、图片文件(角色和场景图像)、音频文件(背景音乐和音效...

    linux-PowerThIEf一个InternetExplorerPostExploitation库

    在IT安全领域,"PowerThIEf"是一个用于Internet Explorer后渗透利用的工具库,尤其在Windows环境中。...对于那些对信息安全有深入兴趣的人来说,研究"Invoke-PowerThIEf-master"源码将是一次宝贵的学习经历。

    中易广告联盟程序3.2最新完整版带图片上传.rar

    而我司的ZYADS广告联盟系统是经过我司三年多自主研发的软件,曾经历过三次重大的核心技术重写,近百次的功能更新,上千的使用客户。因此我们可以很自信的说,绝大部分的软件设计公司(非主营网络广告服务)不可能...

    我国大型计算机的现状与未来ppt课件.ppt

    随后的几十年里,计算机经历了多次技术革新,包括晶体管的引入、集成电路的发展,直至现在的大规模集成电路,使得计算机的性能不断提升,成本不断降低,体积逐渐缩小。 【计算机的分代】 计算机发展经历了四个主要...

    syslog协议

    随着时间的发展,该协议经历了多次更新和完善。其中最著名的一个版本是定义在RFC 3164中的Syslog协议,它于2001年发布,是早期广泛采用的标准之一。之后,在2009年发布的RFC 5424中进一步规范了Syslog协议,增强了其...

    完整版精品java课件 Java基础入门教程 Java程序设计 第1章 Java语言概述(共38页).ppt

    5. **平台无关性**:Java程序通过Java虚拟机(JVM)实现跨平台运行,"一次编写,到处运行"(Write Once, Run Anywhere)。 6. **可移植性**:Java源代码编译成与平台无关的字节码,JVM负责将其转换为特定平台的机器...

Global site tag (gtag.js) - Google Analytics